ГОСТ Р 59383-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Основы управления доступом.

        ГОСТ Р 59383-2021

 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 Информационные технологии

 МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 Основы управления доступом

 Information technology. Security techniques. A framework for access management

ОКС 35.030

Дата введения 2021-11-30

 Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) и Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 414-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 29146:2016* "Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом" (ISO/IEC 29146:2016 "Information technology - Security techniques - A framework for access management", NEQ)     

5 ВВЕДЕН ВПЕРВЫЕ

6 Федеральное агентство по техническому регулированию и метрологии не несет ответственности за патентную чистоту настоящего стандарта. Патентообладатель может заявить о своих правах и направить в национальный орган по стандартизации аргументированное предложение о внесении в настоящий стандарт поправки для указания информации о наличии в стандарте объектов патентного права и патентообладателе

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

 Введение

Управление безопасностью информации представляет собой сложную задачу, опирающуюся в основном на развитую отечественную нормативно-правовую базу [1], [2] и риск-ориентированный подход к защите информации, поддерживаемый рядом методов и средств обеспечения безопасности. Одной из задач обеспечения безопасности информации является разработка систем, которые реализуют политику управления доступом к информационным ресурсам организации [1]. В рамках управления безопасностью информации управление доступом играет ключевую роль в вопросе управления взаимодействием между получающими доступ сторонами: пользователями и ресурсами автоматизированных (информационных) систем. С развитием информационных сетей общего пользования информационные ресурсы могут размещаться в распределенных вычислительных сетях, которые предполагают наличие области единых правил управления доступом, включающей в себя политики, процессы, технологии, стандарты и типовые модели разграничения доступа.

Основы управления доступом представляют собой часть общих основ управления идентичностью и доступом. Управление доступом осуществляется после успешно выполненных идентификации и аутентификации субъектов доступа, претендующих получить доступ к информационным ресурсам.

Настоящий стандарт содержит описания концепций, участников, компонентов, эталонной архитектуры, функциональных требований и практических приемов управления доступом, а также описание архитектуры типовой системы управления доступом, реализуемой с применением нескольких моделей разграничения доступа, которые могут применяться разработчиками систем управления доступом в качестве методических материалов. Основное внимание в стандарте сосредоточено на задаче управления доступом для одной организации, при этом приведены некоторые предложения по управлению доступом объединения организаций, например территориально-распределенных предприятий и/или отраслевых структур.

Настоящий стандарт необходимо применять с учетом требований нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

      1 Область применения

Настоящий стандарт определяет основы управления доступом и безопасного управления процессом доступа к информации и ресурсам средств информационно-коммуникационных технологий.

В настоящем стандарте приведены концепции, термины и определения, применимые для методов управления распределенным доступом в сетевой среде, представлены разъяснения, касающиеся взаимосвязанной архитектуры, компонентов и функций управления.

Положения настоящего стандарта могут быть использованы при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.

Описание характеристик и качества средств управления физическим доступом, задействованных в системах управления доступом, выходят за рамки применения настоящего стандарта.

      2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 58833 Защита информации. Идентификация и аутентификация. Основные положения

ГОСТ Р 59381 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции

ГОСТ Р 59382 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы

ГОСТ Р 59407 Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных

ГОСТ Р ИСО/МЭК 27002 Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

      3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 59381, а также следующие термины с соответствующими определениями:

3.1 атрибут (attribute): Характеристика, признак или свойство, используемые для описания и управления доступом к ресурсу.

Примечания

1 Правила предоставления доступа к ресурсу устанавливаются в политике управления доступом, которая определяет необходимые атрибуты для разрешения доступа субъекта к ресурсу для определенной операции.

2 Примерами атрибутов могут быть атрибуты субъекта, атрибуты ресурса, атрибуты окружения и иные атрибуты, используемые для управления доступом, как определено в политике управления доступом.

3.2 конечная точка (endpoint): Сервис принятия решения в системе управления доступом, в котором осуществляется функция управления доступом.

Примечания

1 Возможны следующие различные виды конечных точек:

- сервис принятия решения по результату аутентификации субъекта доступа;

- сервис принятия решения по авторизации субъекта доступа;

- сервис обнаружения конечных точек, осуществляющий поиск и определяющий местонахождение конечных точек;

- сервис начального обнаружения конечных точек, используемый в начале взаимодействия субъекта с системой управления доступом.

2 Сервисы обнаружения конечных точек обычно используются в распределенных сетевых системах.

3.3 привилегия (privilege): Метка разрешения для субъекта на доступ к ресурсу.

Примечания

1 Привилегия является необходимым, но не достаточным условием для доступа. Доступ осуществляется, когда запрос доступа удовлетворяется в соответствии с принятой политикой управления доступом. Политика управления доступом основывается на привилегиях и может включать в себя другие факторы среды (например, время дня, местоположение и т.д.).

2 Привилегии имеют форму данных, представляемых или получаемых субъектом. Эти данные используются точкой принятия решений по политике для разрешения или отказа в осуществлении операции, которую субъект хочет осуществить с ресурсом.

3 Ресурс может иметь несколько различных ассоциированных с ним привилегий, которые соответствуют определенным уровням доступа. Например, ресурс данных может иметь права на чтение, запись, выполнение и удаление, доступные для назначения субъектам. Запрос субъекта на доступ к ресурсу может быть разрешен для некоторых уровней доступа, но запрещен для других уровней, в зависимости от уровня запрашиваемого доступа и привилегий ресурса, назначенных субъекту.

4 Право доступа определяет возможное действие, которое субъект может выполнять с ресурсом.

3.4 принцип необходимого знания (need-to-know): Цель безопасности, состоящая в поддержании доступа субъекта к информационным ресурсам на минимальном уровне, необходимом для выполнения своих функций делающим запрос пользователем.

Примечания

1 Принцип необходимого знания санкционируется по усмотрению владельца ресурса.

2 Принцип необходимого наличия - это цель безопасности запрашивающей стороны для выполнения конкретных задач, которые могут ограничиваться по усмотрению владельца ресурса.

3.5 разграничение доступа (access control): Разрешение или отказ в осуществлении операции с ресурсом.

Примечания

1 Основной целью разграничения доступа является предотвращение несанкционированного доступа к информации или использование информационных ресурсов на основе бизнес-требований и требований безопасности, т.е. применение политик доступа к конкретным запросам.

2 При получении запроса от аутентифицированного субъекта владелец ресурса разрешает (или не разрешает) доступ в соответствии с политикой доступа и привилегиями субъекта.

3.6 реализация, ориентированная на организацию (enterprise centric implementation): Управление доступом, проводимое под контролем точки принятия решений по политике.

3.7 реализация, ориентированная на субъекта (subject centric implementation): Управление доступом, реализованное как компонентные сервисы, которые вызываются субъектом с целью получения средств, признаваемых точкой соблюдения политики, для получения доступа к ресурсу.

Примечание - Компонентные сервисы могут включать в себя сервис точки принятия решений по политике, сервис точки соблюдения политики и соответствующие сервисы обнаружения, дающие возможность субъекту определять местоположение и контактировать с сервисами управления доступом.

3.8 ресурс (resource): Физический, сетевой или любой информационный актив, к которому может быть получен доступ субъектом.

3.9 роль (role): Название, данное определенной совокупности функций системы, которые могут выполняться многими сущностями.

Примечания

1 Название обычно описывает функциональные возможности.

2 Сущности могут быть, но не обязательно являются людьми.

3 Роли реализуются совокупностью атрибутов привилегий для предоставления необходимого доступа к информационным ресурсам или объектам.

4 Назначенные на роль субъекты наследуют связанные с ролью привилегии доступа. При операционном использовании субъектам следует аутентифицироваться в качестве членов ролевой группы, прежде чем им будет разрешено выполнять функции роли.

3.10 сервис токенов безопасности (security token service): Сервис, создающий, подписывающий, осуществляющий замену и выпуск токенов доступа на основе решений, принимаемых точкой принятия решений по политике.

Примечание - Этот сервис может быть разбит на отдельные компоненты.

3.11 субъект (subject): Сущность, запрашивающая доступ к ресурсу, находящемуся под контролем системы управления доступом.

3.12 токен доступа (access token): Доверенный объект, инкапсулирующий полномочия субъекта для получения доступа к ресурсу.

Примечания

1 Токен доступа выпускается точкой принятия решений по политике и используется точкой соблюдения политики для ресурса.

2 Токен доступа может содержать информацию о разрешении доступа для получения субъектом доступа к ресурсу и идентификационную информацию для источника решения об авторизации.

3 Токен доступа может содержать информацию, позволяющую осуществить проверку его достоверности.

4 Токен доступа может иметь физическую или виртуальную форму.

3.13 точка администрирования политики (policy administration point): Сервис, осуществляющий администрирование политики авторизации доступа.

Примечание - Атрибуты могут включать в себя привилегии/разрешения, связанные с ресурсом, субъектом и средой.

3.14 точка информирования по политике (policy information point): Сервис, выполняющий функции источника атрибутов, которые используются точкой принятия решений по политике для принятия решений об авторизации.

Примечание - Атрибуты могут включать в себя привилегии/разрешения, связанные с ресурсом, субъектом и средой.

3.15 точка принятия решений по политике (policy decision point): Сервис, реализующий политику разграничения доступа для принятия решений по запросам сущностей о доступе к ресурсам и предоставления решений об авторизации, используемых точкой соблюдения политики.

Примечания

1 Решения об авторизации используются точкой соблюдения политики для управления доступом к ресурсу. Решения об авторизации могут сообщаться посредством использования токена доступа.

2 Точка принятия решений по политике также осуществляет аудит решений в контрольном журнале и может инициировать предупреждения.

3 Этот термин соответствует функции принятия решений о доступе, приведенной в [3]. Предполагается, что эта функция располагается в сети субъекта и может находиться в сети в виде соответствующей точки соблюдения политики.

3.16 точка выполнения политики (policy enforcement point): Сервис, обеспечивающий выполнение решения о доступе точки принятия решений по политике.

Примечания

1 Точка выполнения политики получает решения об авторизации, принятые точкой принятия решений по политике, и реализует их для осуществления разграничения доступа сущностей к ресурсам. Решение об авторизации может быть получено в форме токена доступа, представляемого субъектом при осуществлении запроса о доступе.

2 Этот термин соответствует функции обеспечения осуществления доступа, приведенной в [3]. Предполагается, что эта функция располагается в сети субъекта и может находиться в сети в виде соответствующей точки принятия решений по политике.

3.17 управление доступом (access management): Совокупность процессов разграничения доступа для ряда ресурсов.

      4 Основные концепции

      4.1 Модель управления доступом к ресурсам

4.1.1 Общий обзор

Концептуально последовательность предоставления доступа к ресурсу выглядит следующим образом:

- перед предоставлением доступа к ресурсу необходима аутентификация субъекта. Однако аутентификация является отдельной функцией, обычно реализуемой на сеансовой основе, а не для каждого запроса доступа;

- решение об авторизации, разрешающее доступ или отказывающее в доступе к ресурсу, принимается на основе политики; для передачи результата решения выпускается токен доступа;

- на основе результата решения осуществляется авторизация для ресурса и предоставляется доступ к ресурсу.

Последовательность действий в модели управления доступом приведена на рисунке 1. Субъект и ресурс изображены в виде окружностей, а концептуальные функции изображены в виде прямоугольников.

Рисунок 1 - Последовательность действий в модели управления доступом

Для цели предоставления доступа ресурс характеризуется следующими аспектами:

- идентификатором для конкретного ресурса либо для класса ресурсов;

- одним или несколькими режимами доступа;

- совокупностью атрибутов, связанных с режимами доступа и другими критериями доступа, как определено в политике управления доступом.

Система управления доступом отвечает за администрирование и функционирование разрешений на доступ. Полномочия поддерживаются административной деятельностью, которая назначает и поддерживает атрибуты ресурсов и привилегии субъекта в соответствии с политикой управления доступом.

Ресурсы в системах обычно являются динамичными. Они проходят жизненный цикл от создания до уничтожения, и этот процесс является непрерывным.

Ресурсы постоянно создаются, обновляются и уничтожаются.

Ресурсам должны быть присвоены атрибуты доступа (как правило во время создания), которые будут использоваться системой управления доступом для управления доступом субъектов к ресурсам. [Это осуществляется путем предварительного определения общепризнанных типов ресурсов с соответствующими образцами атрибутов доступа. При создании ресурса известного типа он наследует атрибуты доступа соответствующего образца].

Ресурсами владеет сторона, которая может быть физическим лицом или организацией. Владелец часто, но не всегда, является создателем ресурса, и владение ресурсом может меняться в течение срока службы ресурса.

4.1.2 Взаимосвязь между системой управления идентификационными данными и системой управления доступом

В приведенной в настоящем стандарте модели управления доступом субъект аутентифицируется с помощью системы управления идентификационными данными, как указано в [4]. Затем аутентифицированный субъект запрашивает доступ, используя систему управления доступом. Система управления доступом определяет, следует ли авторизовать субъекта для доступа к ресурсу. Авторизация субъекта включает в себя два различных вида деятельности:

- предварительное присвоение субъектам привилегий доступа к ресурсам;

- предоставление субъектам доступа к ресурсам при операционном использовании.

Взаимосвязь между системой управления идентификационными данными и системой управления доступом приведена на рисунке 2.

Рисунок 2 - Взаимосвязь между системой управления идентификационными данными и системой управления доступом

Аутентификация поддерживается системой управления идентификационными данными. В системе управления доступом, использующей модель управления доступом на основе идентификационных данных, идентификационные данные являются основой для присвоения субъектам привилегий доступа к ресурсам и авторизации запросов доступа субъектов к ресурсам при операционном использовании.

Примечание - Предоставление доступа к ресурсу может требовать минимального установленного уровня доверия к аутентификации для субъекта, который зависит от риска ресурса. Требуемый уровень доверия зависит от связанного с идентификационными данными риска, относящегося к ресурсу, к которому нужно получить доступ. Дополнительная информация об уровне доверия к аутентификации содержится в ГОСТ Р 58833.

Авторизацию обеспечивает система управления доступом, которая поддерживает управление информацией о доступе.

Практические приемы реализации систем управления доступом могут варьироваться в зависимости от используемой архитектуры и модели управления доступом, например:

- в случае реализации системы управления доступом как системы веб-сервисов, субъект может запросить доступ к ресурсу без предварительной аутентификации. В этом случае система управления доступом перенаправит субъекта, чтобы он запросил систему управления идентификационными данными о положительном результате аутентификации;

- в случае применения модели управления доступом на основе атрибутов имеется возможность не требовать аутентификации для субъекта. В этом случае анонимному субъекту может быть разрешено перейти непосредственно в систему управления доступом, и решение об авторизации будет принято на основе учетных данных, которые могут быть проверены, чтобы доказать, что субъект обладает заявленными атрибутами.

4.1.3 Характеристики безопасности метода доступа

Необходимо рассмотреть аспекты безопасности реализации систем управления доступом и процессов, особенно в случае использования объединенных (междоменных) архитектур.

По соображениям безопасности может требоваться проверка целостности запроса доступа, прежде чем запрос будет обрабатываться системой управления доступом.

В случаях, когда каналы связи являются надежными, например частные соединения внутри организации, дополнительная защита может не требоваться. Однако в случаях, когда каналы связи проходят через общедоступные сети или другие незащищенные каналы, необходимо предусмотреть меры по обеспечению целостности и конфиденциальности запросов доступа и связанных с ними данных как самого запроса доступа (привилегии, аутентификационные данные субъекта, ресурс, запрашиваемая операция и т.д.), так и данных, отправленных ресурсу или полученных от него в течение периода доступа.

Существуют два подхода к установлению безопасного канала связи между субъектом и системой управления доступом. Представленные ниже подходы учитывают время, когда будет установлен безопасный канал связи:

- безопасный канал связи может быть установлен до передачи привилегий или данных, которые будут использоваться для получения привилегий (например, путем создания сеанса с протоколом защиты безопасности транспортного уровня (TLS) с поддерживающим ресурс сервером);

- безопасный канал связи может быть установлен после успешной передачи привилегий или данных, которые использовались для аутентификации идентификатора субъекта.

В последнем случае безопасный канал связи устанавливается после успешного аутентификационного обмена либо после успешного приема токена доступа; ключи целостности и конфиденциальности выводят из аутентификационного обмена или получают из информации, содержащейся в токене доступа, или из информации, связанной с токеном доступа. Затем через безопасный канал связи может осуществляться передача данных операции, запрашиваемой у ресурса.

      4.2 Взаимосвязь между управлением логическим и физическим доступом

В настоящем стандарте основное внимание уделяется управлению логическим доступом. Как правило, управление логическим доступом интегрировано с управлением физическим доступом.

Логический доступ к ресурсу в автоматизированной (информационной) системе организации должен поддерживаться защищенной физической инфраструктурой, обеспечивающей эффективный набор мер защиты и ограничений на действия субъектов доступа.

Для логического доступа к ресурсу, размещаемому с привлечением внешнего сервиса, внешний сервис должен отвечать за реализованное в нем управление физическим и логическим доступом, чтобы субъект мог ему доверять.

      4.3 Функции и процессы системы управления доступом

4.3.1 Общий обзор

Система управления доступом обеспечивает соблюдение политики разграничения доступа и выполняет две основные операционные функции:

- присвоение субъектам привилегий доступа к ресурсам до начала операционного использования; альтернативным образом присвоение привилегий доступа атрибутам (как в модели разграничения доступа на основе идентификационных данных, см. 4.3.2), а затем присвоение атрибутов субъектам, которые наследуют соответствующие привилегии доступа;

- использование этих привилегий (вместе с другой информацией, где это уместно) для разграничения доступа субъектов к ресурсам системы при операционном использовании.

Кроме того, система управления доступом обеспечивает административные функции для поддержки основных функций, включая:

- управление политиками;

- управление связанными с политиками атрибутами доступа;

- управление мониторингом и учетом (аудитом).

Политика доступа к ресурсам должна реализовывать следующие принципы:

- установление атрибутов доступа на основе принципа "необходимого знания";

- минимизацию доступа к данным с целью ограничения доступа только строго необходимыми данными и сведения к минимуму риска утечки и раскрытия данных;

- отделение и обеспечение защиты чувствительных данных;

- обеспечение защиты персональных данных;

- применение многофакторной аутентификации в случае критичности и чувствительности ресурса, к которому предоставляется доступ.

4.3.2 Политика управления доступом

Система управления доступом обеспечивает соблюдение политики разграничения доступа. Существует ряд моделей разграничения доступа (см. приложение А). В настоящем стандарте содержится описание моделей разграничения доступа, которые являются достаточно гибкими, чтобы быть пригодными для использования и в централизованной, и в распределенной сетевой среде:

- разграничение доступа на основе идентификационных данных (identity-based access control);

- разграничение доступа на основе ролей (role-based access control);

- разграничение доступа на основе атрибутов (attribute-based access control).

Политика разграничения доступа должна быть описана на естественном языке или посредством другого пригодного представления, например формального языка, чтобы выражать цели разграничения доступа к ресурсам, методы и процессы осуществления контроля и любые требования мониторинга, аудита и других неосновных функций.

В организации может существовать ряд политик разграничения доступа. Как правило, доступ к группе ресурсов одной технологии может быть осуществлен под контролем точки принятия решений, отвечающей одной политике, в то время как доступ к другой группе ресурсов, разработанных с использованием другой технологии, будет осуществлен под контролем другой точки принятия решений, отвечающей второй политике разграничения доступа. Рекомендуется, чтобы обе точки принятия решений могли соответствовать одной и той же политике разграничения доступа.

В случаях, когда в организации действует несколько систем управления доступом и они должны быть интегрированы в единую систему, необходимо устранить разногласия политик, выработать и документально оформить общую политику разграничения доступа. Альтернативным подходом может быть интеграция систем в виде внутриорганизационного объединения; в этом случае следует учитывать соображения и требования, приведенные в 4.3.8.

Разграничение доступа обеспечивается посредством механизмов разрешения или отказа в выполнении операций с ресурсами на основе политики разграничения доступа.

Решения об авторизации принимаются на основе оценивания привилегий и атрибутов субъекта относительно правил доступа, установленных для соответствующего ресурса. Правила могут включать в себя атрибуты среды, такие как время суток и местоположение, из которых делается запрос. Например, все операции с ресурсом могут быть запрещены в период времени между 21:00 и 7:00.

Если применяется мандатное разграничение доступа, правило обязательно будет общим для совокупности ресурсов. Например, субъекты должны иметь допуск к работе для осуществления любой операции, которую они хотели бы выполнить в отношении данного набора ресурсов.

Примечание - Так как последовательно может применяться несколько правил, порядок их применения может влиять на эффективность процесса принятия решения. Однако оптимальное упорядочение будет зависеть от относительной вероятности принятия решений о предоставлении/отказе в доступе при операционном использовании.

Отдельные правила могут быть реализованы с помощью матрицы разграничения доступа, связанной с каждым ресурсом, которая содержит одну или несколько записей.

Каждая запись будет определять условие(я), которое(ые) необходимо выполнить субъекту для осуществления одной или нескольких операций с ресурсом. Главное условие для выполнения состоит в том, что субъект должен обладать некоторой(ыми) привилегией(ями).

Разграничение доступа на основе атрибутов представляет собой наиболее общий случай, когда управление доступом основано на определяемых системой управления доступом атрибутах, которыми обладают субъекты. Разграничение доступа на основе идентификационных данных, на основе псевдонимов и на основе ролей представляют собой частные случаи разграничения доступа на основе атрибутов, где атрибутами соответственно являются идентификационные данные, псевдонимы и роли. Эти четыре модели разграничения доступа могут быть реализованы с использованием списков разграничения доступа.

Когда субъект представляет свидетельство возможностей (при разграничении доступа на основе возможностей) для авторизации, необходимо проверить, что свидетельство возможностей в качестве токена доступа является эффективным для данной операции.

В системах управления доступом, включающих в себя более чем одну модель разграничения доступа, следует позаботиться об обеспечении уверенности в том, что политики, определяющие доступ субъектов к ресурсам, не приводят к конфликтным решениям о доступе для одного и того же субъекта по разным вариантам доступа: точка администрирования политики должна быть способна управлять доступом, реализованным на основе различных моделей разграничения доступа.

Политика управления доступом должна иметь следующие характеристики:

- основываться на требованиях политики, являющихся общими для существующих требуемых моделей разграничения доступа, при обеспечении защиты информации в соответствии с бизнес-требованиями и по соображениям соблюдения правовых, нормативных требований и прав интеллектуальной собственности;

- содержать иерархию политик, основанную на общей политике, из которой могут определяться правила разграничения доступа, применяемые к субъектам доступа с одинаковыми характеристиками;

- описывать атрибуты, поддерживающие определенную классификацию. Такая классификация позволит обеспечить совместимость политик и соответствие среди различных организаций;

- описывать процедуры предоставления и управления привилегиями, процесс разграничения доступа и обработку особых ситуаций.

4.3.3 Управление привилегиями (правами доступа)

Требования управления привилегиями определяются политикой разграничения доступа, как приведено в 4.3.2.

В соответствии с политикой разграничения доступа на основе идентификационных данных управление привилегиями осуществляется на основе идентификационных данных субъекта. Политика разграничения доступа на основе идентификационных данных использует такие механизмы, как списки управления доступом для определения идентификационных данных тех, кому разрешен доступ к ресурсу, и типов операций с ресурсом, которые им разрешено выполнять. В модели разграничения доступа на основе идентификационных данных предоставление субъекту привилегий доступа к ресурсу производится до любого запроса субъекта о доступе, а идентификационные данные субъекта и привилегии доступа добавляются к соответствующему списку разграничения доступа для ресурса.

Если идентификационные данные аутентифицированного субъекта совпадают с идентификационными данными, зафиксированными в соответствующем списке управления доступом, субъекту предоставляют доступ к ресурсу в соответствии с его привилегиями доступа. Каждый ресурс имеет соответствующий список разграничения доступа, где фиксируются привилегии доступа для субъектов, которым разрешен доступ к ресурсу. В модели разграничения доступа на основе идентификационных данных решение об авторизации принимается до любого конкретного запроса доступа и приводит к добавлению субъекта и привилегий доступа субъекта в соответствующий(е) список (списки) разграничения доступа для ресурса.

При разграничении доступа на основе ролей каждому субъекту присваивается роль (или роли) и это фиксируется в учетной записи для данного субъекта. Решение об авторизации принимается на основе привилегий доступа, присвоенных соответствующей роли в системе разграничения доступа. В модели разграничения доступа на основе ролей привилегии присваиваются ролям, а не субъектам. Роли между субъектами распределяются с помощью отдельной процедуры. Это также влияет на процесс авторизации при запросе доступа к ресурсам, который является двухэтапным процессом в модели разграничения доступа на основе ролей:

- авторизация запроса доступа для роли;

- аутентификация субъекта как члена ролевой группы.

При разграничении доступа на основе атрибутов субъектам присваиваются связанные с политикой атрибуты доступа. Решения об авторизации основываются на атрибутах, которыми обладают субъекты. Субъект может получать доступ к ресурсам как член группы, обладатель атрибутов или как индивидуум. При этом в системе управления доступом могут одновременно существовать способы управления доступом на основе ролей, атрибутов и идентификационных данных.

Управление привилегиями включает в себя следующие виды деятельности:

- создание набора привилегий, используемых для обозначения и ограничения типов операций, которые могут выполняться с ресурсами;

- установление правил, определяющих присвоение привилегий в соответствии с политикой разграничения доступа и используемой способом управления доступом, например присвоение привилегий идентификационным данным, ролям, возможностям или иным определенным атрибутам;

- обновление и аннулирование привилегий и идентификационных атрибутов.

Реализация политики разграничения доступа происходит в результате присвоения привилегий доступа к ресурсам, субъектам, ролям, группам и т.д. Привилегии следует присваивать по принципу минимального "необходимого знания", предоставляющего самый низкий уровень привилегий в соответствии с необходимостью субъекта доступа осуществлять соответствующую деятельность.

Примечание - Привилегии могут присваиваться субъектам доступа, ассоциированным с физическими лицами, и субъектам доступа, не ассоциированным с физическими лицами. Например, когда в сеть добавляется устройство или сервис, им могут присваиваться привилегии доступа к ресурсам.

4.3.4 Управление информацией об атрибутах, связанной с политикой доступа

Управление информацией при установке привилегий атрибутам относится к функциям администратора, как приведено в 5.1.

Такого рода информация характеризуется следующим:

- ее получают из различных источников, включая связанные с атрибутами органы управления, ресурсы и среду;

- управление ею осуществляется через точку администрирования политики;

- она хранится в точке информирования по политике.

Результирующая информация предоставляется точке принятия решений по политике разграничения доступа к ресурсам.

Управление информацией об атрибутах в системе управления доступом осуществляется в соответствии с описанной ранее политикой разграничения доступа.

В случае использования модели разграничения доступа на основе атрибутов политика формулируется в терминах атрибутов, которые используются для управления доступом к ресурсам, и исходя из того, как атрибуты соответствуют привилегиям доступа к ресурсам. Для модели разграничения доступа на основе ролей политика определяет, как привилегии доступа к ресурсам присваиваются различным ролям.

В соответствии с политикой разграничения доступа управление атрибутами осуществляют владельцы ресурсов, тогда как в рамках политики мандатного управления доступом управление дополнительными атрибутами осуществляют специалисты по реализации политики.

В случае использования модели разграничения доступа на основе псевдонимов используются такие механизмы, как списки управления доступом, содержащие псевдонимы субъектов, которым разрешен доступ к ресурсу, вместе с разрешениями на доступ субъекта к ресурсу. Если субъект представляется псевдонимом, совпадающим с тем, который содержится в списке управления доступом, субъекту может быть предоставлено право осуществления операции с ресурсом с учетом его разрешений и любых других проверок, которые могут быть применены.

В модели разграничения доступа на основе идентификационных данных применяется сходный механизм, в котором вместо псевдонимов используются идентификационные данные.

В модели разграничения доступа на основе ролей применяется аналогичный механизм, в котором вместо псевдонимов используются роли.

В модели разграничения доступа на основе атрибутов применяется сходный механизм, в котором вместо псевдонимов используются атрибуты (например, членство в группах).

Все вышеуказанные модели разграничения доступа могут одновременно существовать в системе управления доступом.

Модель разграничения доступа на основе возможностей использует механизмы, в которых представленная субъектом возможность должна: во-первых, сопоставляться с идентификатором ресурса и операцией, осуществляемой с ресурсом; во-вторых, содержание возможности должно также сопоставляться с идентификатором признанного органа и соответствующими операциями, разрешенными для этого органа. Если эти условия выполнимы, то субъекту может быть предоставлено право осуществления операции с ресурсом до следующих проверок, которые могут применяться.